- WIADOMOŚCI
Wyciekły dane gości polskich hoteli. Atak na system
Autor. Pixabay.com. Licencja: https://pixabay.com/service/license-summary/
System zarządzania rezerwacjami w wielu polskich hotelach został zhakowany. Cyberprzestępcy mieli uzyskać nieuprawniony dostęp do danych gości hotelowych w obiektach obsługiwanych przez Hotres oraz rozsyłać wiadomości phishingowe, które miały na celu wyłudzanie pieniędzy. Co wiemy?
Jak podają Zaufana Trzecia Strona oraz Niebezpiecznik, ogólnopolski system rezerwacyjny HOTRES miał zostać skutecznie zaatakowany, co skutkowało m.in. wyciekiem danych osobowych gości hotelowych z obiektów w całej Polsce.
Obecnie dokładna skala incydentu nie jest znana, lecz system miał obsługiwać „setki hoteli”.
Wakacje za pasem, a system rezerwacyjny wielu polskich hoteli zaliczył wyciek danych - tak przynajmniej wynika z wiadomości wysyłanych przez jeden z hoteli do jego klientów. pic.twitter.com/Is29GqDHiH
— ZaufanaTrzeciaStrona @zaufanatrzeciastrona@infosec (@Zaufana3Strona) July 2, 2026
Zobacz też

Jak do tego doszło?
Z komunikatu przytoczonego na łamach Niebezpiecznika możemy się dowiedzieć, że dane zostały pobrane wskutek wykorzystania podatności „SQL Injection”, czyli wstrzykiwaniu odpowiedniego skonstruowanego zapytania do silnika bazy danych, skutkującego np. wylistowaniem wszystkich informacji z kolumn w bazie.
Obecnie ta luka w zabezpieczeniach jest o wiele rzadziej wykorzystywana w atakach na produkcyjne systemy niż miało to miejsce w przeszłości, lecz wciąż występuje – mowa np. o podatności w OKE Warszawa czy kilku polskich stronach internetowych w 2025 roku.
Atak miał nastąpić z konta zalogowanego użytkownika. Co jednak najbardziej zaskakujące, instrukcja tworzenia hasła do panelu Hotres zawierała… frazy powszechnie wykorzystywane podczas ataku SQLi z informacją, aby ich nie wykorzystywać w tym procesie.
Zakres danych
Zakres danych, który uległ naruszeniu ochrony, obejmuje:
- imiona i nazwiska;
- adres e-mail;
- numer telefonu;
- daty pobytu;
- kwota pobytu.
Niebezpiecznik zaznacza, że obecnie nieznana jest liczba skradzionych rekordów.
Czy moje dane wyciekły?
Bez komunikatu hotelu w którym mieliśmy rezerwację, niemożliwe jest jednoznaczne potwierdzenie lub wykluczenie tego, że nasze dane uległy naruszeniu ochrony.
„Jeśli hotel, hostel albo najem krótkoterminowy z usług którego korzystałeś do obsługi rezerwacji używał systemu Hotres, powinieneś założyć najgorsze — że włamywacze mają także Twoje dane” – podkreśla Niebezpiecznik. Portal rekomenduje szukanie frazy hotres w ramach naszej skrzynki pocztowej, lecz nie daje to żadnej gwarancji tego, że nasze wyciekły (bądź nie).
Z usług Hotres miało korzystać ponad 2000 obiektów.
I tu pora na smutną wiadomość: musisz polegać na uczciwości obiektu i tym, czy podejmie on decyzję, żeby Cię poinformować, że doszło do nieuprawnionego dostępu do Twoich danych osobowych.
Niebezpiecznik
Jak się chronić?
Zakres potencjalnie skradzionych danych prawdopodobnie będzie wykorzystywany głównie do phishingu, czyli podszywania się pod organizacje. Może to skutkować m.in. wyłudzeniami pieniędzy bądź danych osobowych.
Jednym ze schematów może być „dopłata do rezerwacji” – Niebezpiecznik deklaruje, że spotkał się z takimi wiadomościami oraz rekomenduje każdorazowy kontakt z hotelem (z naszej inicjatywy) w celu potwierdzenia autentyczności informacji.
Incydent jasno wskazuje, że powinniśmy być wyczuleni na wszelkie próby kontaktu od nieznajomych osób – szczególnie w sytuacji, gdy proszą o dodatkowe informacje lub podjęcie niezwłocznego działania.
W grudniu 2025 roku ofiarą podobnego ataku był system rezerwacji KWHotel.
Szerzej rekomendowane czynności pod wycieku danych opisaliśmy w poradniku na naszych łamach.
Zobacz też





Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].